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fi 要 : 针对 安全 多 方 计算 (MPC) 中 大 部 分 参与 者 不 诚实 情况 下 无 法 获得 公平 性 这 一 问题 ， 基 于 区 块 链 智能 合约 构 
造 惩罚 机 制 ， 提 出 了 公平 的 安全 MPC 协议 。 协 议 分 为 两 个 阶段 ， 分 别 为 基于 可 验证 秘密 共享 的 MPC 阶段 和 公平 的 秘 
密 重建 阶段 ， 参 与 方 只 要 收集 t+1 个 正确 份额 即 可 得 到 最 终 输 出 。 协 议 利 用 同 态 承诺 来 验证 秘密 份额 的 正确 性 ， 使 用 
超时 机 制 来 判别 恶意 参与 方 的 提前 终止 行为 ， 并 对 恶意 方 进行 经 济 惩罚 。 安 全 性 分 析 表 明 诚 实 参 与 方 能 够 获得 最 终 输 
出 ， 和 否则 将 得 到 经 济 补偿 ; 性 能 分 析 表 明 参 与 方 只 需 缴 纳 一 轮 押金 并 且 大 量 复杂 的 秘密 份额 验证 工作 都 在 链 下 ， 协 议 
的 执行 效率 得 到 保证 。 
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Constructing fair secure multi-party computation based on blockchain 
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< — Abstract: This paper proposed a fair secure multi-party computation (MPC) protocol to solve the problem that fairness cannot 


be achieved when there is no honest majority. The protocol constructed a penalty mechanism based on smart contracts which 


are stored on the blockchain. It includes the MPC phase based on verifiable secret sharing and the fair secret reconstruction 
© phase. The participants can obtain the final output by collecting just t+1 correct shares. The protocol utilized homomorphic 
\ commitments to verify the correctness of the secret shares, employed timeouts to identify the premature abort behaviors of 
malicious parties, and punished the aborting parties financially. Security analysis shows that honest participants can get the final 
output, otherwise they will get financial compensation. Performance analysis shows that the protocol requires only one coin- 
transfer round and a large number of complex secret share verification work is off the chain, which ensures the implementation 
efficiency. 
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0 as 协议 大 都 只 有 在 应 对 半 诚 实 攻击 者 或 参与 方 大 多 数 是 诚实 者 的 
情况 下 才能 满足 上 述 安全 特性 ， 比 较 明显 的 例外 就 是 SPDZ 线 
安全 多 方 计算 (secure multi-party computation, MPC) 是 HOOT FE RRS, X MPC 协议 在 大 部 分 参与 者 都 是 恶意 攻击 

图 灵 奖 获得 者 姚 期 智 提出 的 百 万 富翁 凹 问题 延伸 而 来 ,经 过 ”者 的 情况 下 仍 能 保证 协议 的 输入 隐私 性 和 结果 正确 性 。 但 是 ， 
Goldreich, Micali 和 Wigderson 等 人 办 的 研究 发 展 ， 安 全 多 方 上 述 高 效 的 MPC 协议 都 无 法 保证 公平 性 外 。 早 在 1986 年 ， 文 
计算 已 成 为 国际 密码 学 界 研究 的 热点 问题 之 一 。 MPC 用 于 解决 献 [10] 就 已 经 证 明 当 超过 一 半 的 参与 者 不 诚实 时 ，MPC 协议 的 


一 组 互 不 信任 的 参与 方 之 间 保 护 其 隐私 的 协同 计算 问题 ， 在 安 。 公平 性 无 法 得 到 保证 。 目 前 设计 MPC 协议 时 考虑 得 较 多 的 是 

全 MPC 场景 中 ， 持 有 秘密 输入 的 两 方 或 多 方 ， 希 望 共 同 计算 。 ”安全 性 和 正确 性 ， 现 实 世 界 中 协议 很 难 满足 公平 性 ， 因 为 恶意 

一 个 函数 并 得 到 各 自 的 输出 ， 在 这 个 过 程 中 ， 除 了 应 得 的 输出 。” 参与 者 会 提前 终止 协议 由。 

之 外 ， 参 与 方 得 不 到 任何 额外 信息 。 安 全 的 MPC 协议 除了 需 安全 模型 中 最 常见 的 就 是 半 诚 实 模型 和 恶意 敌手 模型 ， 这 

要 保证 输出 结果 的 正确 性 和 参与 方 输入 的 隐私 性 ， 还 要 保证 公 ”两 种 模型 假设 参与 者 按照 初始 设 定 采 取 行 动 ， 半 诚实 参与 者 一 

平 性 ， 即 要 么 所 有 人 都 得 到 输出 要 么 所 有 人 都 得 不 到 输出 。 定 会 推断 其 他 参与 者 的 秘密 信息 ， 恶 意 参 与 者 一 定 会 无 视 协议 
前 研究 人 员 提 出 了 很 多 高 效 的 MPC 协议 B-5， 但 是 这 些 。 要求 破 坏 协 议 执行 。 但 是 ， 现 实 中 参与 者 往往 都 是 理性 的 ， 他 


收 稿 日 期 : 2018-07-07; 修 回 日 期 : 2018-08-30 ”基金 项 目 : 国家 自然 科学 基金 面 上 项 目 (61472139) 
作者 简介 : 黄建华 (1963-)， 男 ， 湖 南 麻 阳 人 ， 副 教授 ， 博 士 ， 主 要 研究 方向 为 计算 机 网 络 与 信息 安全 (jhhuang(@ecust.edu.cn); 江 亚 慧 〈1994-)， 女 ， 
硕士 研究 生 ， 主 要 研究 方向 为 区 块 链 ; 李 忠 诚 〈1994-)， 男 ， 硕 士 研究 生 ， 主 要 研究 方向 为 区 块 链 . 


201811.00132v1 


chinaXiv 


ChinaXiv 合 作 期 刊 


录用 定稿 黄建华 ， 等 : 利用 区 块 链 构建 公平 的 安全 多 方 计算 第 37 老 第 期 


们 会 为 自身 的 利益 最 大 化 来 采取 行动 ， 在 适当 的 激励 机 制 下 ， 范式 下 定义 了 两 方 安全 计算 的 部 分 安全 性 ， 扩 展 了 公平 的 密码 
所 有 人 或 大 多 数 人 ) 可 以 不 做 任何 破坏 。 据 此 ， 解 决 公平 性 ”协议 的 研究 领域 。 文 献 [9] 提 出 了 可 识别 的 安全 中 止 协议 ， 当 恶 
问题 的 一 个 新 的 方法 就 是 在 MPC 协议 中 加 入 经 济 惩罚 机 制 ， 意 方 中 止 协议 时 ， 所 有 参与 方 都 得 到 通知 并 识别 出 谁 是 恶意 中 
具体 来 说 就 是 参与 方 在 执行 计算 之 前 先 缴纳 押金 ， 计 算 结束 后 。 止 方 。 文献 [20] 提 出 了 UC 安全 的 公平 安全 MPC 模型 ， 包括 了 
对 参与 方 行为 进行 验证 ， 诚 实 者 的 押金 将 被 退回 ， 恶 意 者 的 押 ” ”公平 的 加 法 理想 函数 和 公平 的 乘法 理想 函数 ， 并 根据 这 些 模 型 
金 将 平分 给 诚实 者 。 结 合 惩罚 机 制 来 实现 公平 计算 需要 解决 的 设计 了 公平 的 安全 加 法 协议 和 公平 的 安全 乘法 协议 。 文 献 
一 个 问题 就 是 如 何在 没有 可 信 方 的 情况 下 管理 参与 方 的 押金 [11,21] 借 助 了 原 语 的 辅助 来 构建 公平 的 安全 计算 协议 ， 原 语 担 
对 参与 方 行为 进行 可 信 判 断 。 王 了 可 信 方 的 角色 ， 它 是 通用 的 ， 不 需要 事先 知道 有 关 计 算 的 

比特 币 093 是 第 一 个 去 除 可 信 代 理 的 数字 加 密 货币 ， 而 以 太 竹 何 信息 。 甚 中 文献 [21] 提 出 的 通用 黑 盒 (UBB) 原 语 在 两 方 和 
D 则 通过 支持 在 区 块 链 上 编写 智能 合约 实现 了 对 其 扩展 。 多 方 设 置 中 实现 了 完备 的 公平 安全 计算 ， 它 从 参与 方 接收 计算 
区 块 链 是 加 密 货 币 的 底层 技术 ， 其 通过 加 密 技术 和 协商 共识 解 电路 和 一 个 同意 值 ， 对 于 给 定 相 同 电路 的 参与 方 集 ， 输 出 针对 
决 了 没有 信任 基础 的 参与 方 之 间 进 行 交 易 的 信任 问题 。 针 对 安 。 该 电路 的 结果 ， 其 不 足 之 处 在 于 输入 大 小 和 运行 时 间 依 赖 于 
全 多 方 计算 中 大 部 分 参与 者 不 诚实 情况 下 无 法 获得 公平 性 这 一 。” 标 函数 的 复杂 性 。 文献 [11] 表 明 实 现 完备 公平 性 不 存在 “ 短 ” 的 
问题 0 ， 本 文 提 出 了 基于 区 块 链 的 公平 安全 多 方 计算 协议 原 语 ， 并 介绍 了 公平 一 致 性 秘密 重建 原 语 ， 但 原 语 需 要 多 次 调 
] 。 上 述 文献 都 是 从 协议 本 身 考 虑 构建 公平 的 安全 多 方 计算 ， 
protocol, BFSMPC), 该 协议 使 用 以 太 坊 创 建 智能 合约 , 参与 方 ” 研究 结论 大 多 比较 消极 ， 与 他 们 不 同 的 是 ， 基 于 区 块 链 的 方案 
将 押金 交 给 智能 合约 保管 ， 由 智能 合约 判定 参与 方 是 否 诚实 ， 将 参与 者 视 为 理性 的 ， 利 用 加 密 货币 提供 激励 机 制 ， 促 使 参与 
再 对 押金 做 相应 的 处 理 ， 并 采用 超时 机 制 来 判定 恶意 方 提 前 终 ”者 诚 实 执行 协议 。 文 献 [22] 利 用 比特 币 构造 了 限时 承诺 , 使 得 参 
止 协议 的 行为 。 在 大 多 数 不 诚实 参与 方 的 情况 下 ， 基 于 区 块 链 ”与 者 必须 在 限定 的 时 间 内 公布 其 秘密 ， 否 则 要 面临 经 济 惩罚 。 
密码 学 模型 的 BFSMPC 可 以 保证 获得 公平 性 。BFSMPC 将 大 ”文献 [23] 对 比特 币 网 络 中 的 属性 进行 形式 化 和 抽象 化 ， 定 义 了 
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量 验 证 工作 放 到 了 链 下 ， 进 一 步 简化 了 智能 合约 的 操作 ， 保 证 ”理想 函数 天 ， 在 -混合 模型 中 设计 出 公平 的 MPC 协议 。 文 
了 协议 的 执行 效率 。 献 [24] 定 义 了 理想 函数 Fio TE Fi -混合 模型 中 设计 出 了 常数 


; deere 轮 协议 。 文 献 [25] 对 文献 [23] 作 出 了 改进 , 降低 了 脚本 的 复杂 度 ， 
减少 了 链 上 成 本 。 但 是 上 述 协议 都 是 基于 比特 币 网 络 的 ， 比 特 
MPC 是 解决 一 组 互 不 信任 的 参与 方 之 间 保 护 隐私 的 协同 。 币 网 络 不 提供 图 灵 完 备 的 语言 ， 无 法 实现 复杂 的 功能 ， 致 使 参 
计算 问题 ， 如 何 保证 安全 MPC 的 公平 性 是 目前 学 术 界 关注 的 。 与 方 缴纳 的 押金 数 达 到 O(N?) ， 对 于 理想 函数 的 调用 数 达到 
重点 和 难点 ， 文 献 [15] 设 计 了 云 计算 中 基于 秘密 共享 的 安全 ON). 文献 [26] 基 于 以 太 坊 设计 智能 合约 , 利用 门限 秘密 共享 方 
MPC 协议 , 要 求 每 个 服务 器 得 到 每 个 用 户 的 全 部 盲 化 输出 , 之 。” 案 ， 根 据 秘密 重建 情况 向 黑 名 单 中 添加 欺骗 者 ， 实 现 MPC 协 
后 向 全 部 用 户 发 送 输出 ， 这 样 ， 用 户 可 以 校 验 来 自 不 同 服务 器 。 议 的 安全 公平 进行 , 押金 数 为 O(N)。 文献 [27] 基 于 区 块 链 在 UC 
的 输出 是 否 一 致 。 但 是 这 种 方法 并 没有 真正 解决 公平 性 问题 ， ”模型 下 构建 了 具有 公平 性 和 和 鲁 棒 性 的 MPC 协议 ， 但 是 货币 的 
因为 在 大 多 数 服务 器 都 是 恶意 的 情况 下 ， 诚 实 服务 器 可 能 根本 ”传输 轮 数 与 MPC 协议 轮 数 相同 。 
得 不 到 用 户 的 言 化 输出 。 文 献 [10] 已 经 证 明了 两 方 计算 中 无 法 N ne 
获得 完全 公平 性 ， 虽 然 文献 [16] 的 研究 成 果 表 明 在 某 些 特 定 的 2 ”全 站 的 安全 多 万 计算 协议 
两 方 计算 中 完全 公平 是 存在 的 ， 但 这 只 是 特例 ， 不 具 通 用 性 ， BFSMPC 基于 以 太 坊 智能 合约 构建 惩罚 机 制 以 实现 公平 
所 以 有 必要 考虑 对 公平 性 的 概念 进行 弱化 。 最 理想 的 安全 需要 性， 协议 开始 时 所 有 参与 方 需 向 智能 合约 缴纳 押金 ， 否 则 协议 
满足 现实 世界 和 “理想 世界 ”之 间 的 计算 上 不 可 区 分 性 ， 理 想 ik. BFSMPC 主要 由 两 阶段 组 成 ， 第 一 阶段 中 参与 方 链 下 扫 
此 界 要 能 模拟 出 现实 世界 的 所 有 攻击 行为 。 理 想 世界 中 ， 因 为 ”，” 行 一 个 基于 Gennaro 方案 5g 的 不 公平 通用 MPC 协议 ， 该 协议 
存在 可 信 的 第 三 方 ， 各 参与 方 都 能 得 到 输出 。 但 现实 中 ， 公 平 。” 应 用 了 可 验证 秘密 共享 VSS) 方案, 秘密 被 分 享 在 一 个 t 阶 随 
性 只 有 在 大 多 数 参与 者 都 诚实 的 情况 下 才能 得 到 保证 , 文献 [17] ” 机 多 项 式 中 ， 最 终 n 个 参与 方 得 到 各 自 的 秘密 份额 ， 第 二 阶段 
弱化 了 这 一 安全 特性 ， 对 理想 世界 进行 削弱 ， 使 其 不 再 保证 公 ”参与 方 执 行 一 个 公平 的 秘密 重建 协议 ， 该 阶段 需要 与 智能 合约 
平 性 ， 但 协议 满足 计算 不 可 区 分 性 。 这 类 满足 除了 公平 性 以 外 。 ”进行 多 轮 交 互 ， 参 与 方 先 链 下 向 其 他 参与 方 公布 自己 的 秘密 份 
一 切 安全 特性 的 协议 被 称 为 是 “安全 中 止 ” 的 。 文献 [18] 的 方式 ”人 额 ， 其 他 参与 方 验证 后 ， 将 验证 结果 反馈 给 智能 合约 ， 由 智能 
则 是 不 改变 理想 世界 ， 但 是 放宽 了 模拟 的 概念 ， 要 求 真实 世界 ”合约 判定 恶意 方 ， 最 终 恶意 方 押金 会 被 平分 给 诚实 方 。 该 阶段 
和 理想 世界 的 可 区 分 性 最 多 为 /+neg1， 其 中 是 某 个 规定 的 。 ”中 诚实 方 只 要 收集 到 t+1 个 正确 份额 即 可 恢复 秘密 ， 如 果 恢 复 
多 项 式 ，negl 表示 一 定 条 件 下 可 忽略 的 函数 。 满 足 这 类 条 件 的 。 ”失败 ， 将 得 到 补偿 。 
协议 被 称 为 是 “1/p 安全 的 ”% 文献 [19] 在 标准 的 真实 /理想 世界 
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2.1 链 下 通用 MPC 协议 
一 般 来 说 , 构造 通用 的 安全 MPC 协议 主要 有 三 种 方法 , 即 
基于 Yao 混乱 电路 的 构造 方法 、 基 于 秘密 共享 的 构造 方法 和 基 
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LHZ, 的 9 阶 元 , h 为 g 生 成 的 子 群 中 的 随机 元 素 。 


已 收 到 自己 份额 后 ， 他 需要 验证 自己 的 份额 是 否 有 效 ， 即 
验证 自己 的 份额 与 其 他 所 有 人 的 份额 是 否 在 同一 个 次 数 为 t 的 


于 同 态 加 密 的 构造 方法 9。 就 隐私 保护 而 言 ， 基 于 秘密 共享 的 
通用 安全 MPC 协议 往往 有 着 更 好 的 性 能 ， 可 以 轻松 扩展 至 云 
助 安全 计算 中 ， 从 而 使 得 MPC 协议 更 为 实用 。 很 多 通用 的 
MPC 协议 都 是 基于 半 诚 实 模型 , 虽然 文献 [2,9] 提 出 用 编译 器 将 
半 诚 实 模型 下 的 安全 MPC 协议 转换 为 恶意 模型 下 的 安全 MPC 
协议 ， 但 是 在 输出 阶段 ， 恶 意 方 得 到 输出 后 会 提前 终止 协议 ， 
诚实 方 可 能 得 不 到 最 终 输出 ， 所 以 公平 性 始终 无 法 保障 。 


l 


为 了 保证 公平 性 ，BFSMPC 在 底层 通用 MPC 协议 输出 阶 


段 构建 了 一 个 公平 的 秘密 重建 协议 。 文 献 [25] 中 使 用 n-n 秘密 
享 方案 ， 承 诺 方案 使 用 单 向 散 列 函数 构造 ， 只 能 保证 份额 未 
被 窜改 ， 无 法 保证 份额 的 正确 性 ， 这 样 在 秘密 恢复 的 时 候 ， 参 
与 者 无 法 分 辨 其 恢复 结果 是 否 正 确 。 为 解决 这 一 问题 , BFSMPC 
的 底层 通用 安全 MPC 协议 将 Gennaro VSS 方案 和 Pedersen 同 
态 承 诡 方 案 B0 进 行 结 合 ， 以 实现 对 份额 正确 性 的 验证 。 该 通用 
MPC 将 待 计 算 的 函数 y = f (or, x2,...,40) 表示 成 由 加 法 和 乘法 组 
成 的 有 向 图 ， 通 过 执行 相应 的 加 法 协议 和 乘法 协议 来 实现 任意 
的 计算 ， 协 议 大 体 流程 包括 三 个 阶段 EJ， 如 图 1 所 示 。 


已 P, Pa 


R 
bt 


F VSS 的 MPC 协议 执行 过 程 


Fig. 1: Execution process of MPC protocol based on VSS 

第 一 阶段 为 输入 阶段 , 每 个 参与 者 使 用 VSS 方案 在 所 有 参 
与 者 中 分 享 自己 的 秘密 输入 ; 第 二 阶段 为 计算 阶段 ， 参 与 者 执 
行 相应 的 加 法 协议 和 乘法 协议 ， 输 入 都 是 秘密 份额 ， 这 些 份额 
均 是 可 验证 的 ， 计 算 阶 段 输出 的 是 重建 y 所 需要 的 秘密 份额 ， 
每 个 协议 参与 者 Pi 得 到 份额 ys 第 三 阶段 为 输出 阶段 , 参与 者 
公布 自己 的 份额 jy， 共同 将 y 恢复 。 
2.1.1 输入 门 
在 输入 阶段 ， 为 了 保护 隐私 ， 每 个 参与 方 Baam 作为 分 发 
者 (Dealer) 利用 Shamir 秘密 共享 方案 将 自己 的 输入 分 享 给 其 
他 参与 方 ， 并 使 用 Pedersen 同 态 承诺 方案 来 保证 秘密 份额 的 可 
验证 性 。 Pi 选择 两 个 随机 多 项 式 a(x) = ao + Ox + yx? HH K" 
Fil D(x) = By + Bxt Bx? +.…+Bx ,其 中 为 秘密 值 。 Pi 将 份额 
s; 三 (4( 四 ,b( 让 秘密 地 发 送 给 其 他 参与 方 Pj, 三 1,2,…,n。 同时 ， 
Pi 广播 承诺 值 A, = gOn™ mod p,k =0,1,2..n 。 其 中 pAn* 
参与 方 之 间 协 商 的 一 个 大 素数 , 满足 p=2g+1,g 也 是 一 个 素数 ， 


多 项 式 上 ( 称 为 VSPS 性 质 )。 方 法 如 下 : 


_| £@ 


KACO) 
l (1) 
JO 
(2) 
(3) 


RA fi) =a, taxt+axet+..tax, A 
1 0 ... 0)fa, 
ti sila 
1 t … tla, 

记 为 

dy f(0) 
ve fee 
a fo 
所 以 
do f (0) 
“| y| £0 
a fo 


参与 方 随机 选取 5 eln, 4 是 已 公布 的 承诺 ， 计 算 


A, = gfOpO 一 gerard +b p Po BEBE +A AS ae ae (4) 


W4 AV RSJ ATR i 列 的 值 ， 


As = 


其 中 心 = 156’ è 
j= 


fw = 六 和 ADO ， 所 以 


tet tet t t 
LDA DYD Te oO =TT (Ay 5 
gO pies I] LIA (5) 


Pi 将 计算 得 出 的 A; 和 之 前 公布 的 As 进行 比较 ， 若 相等 ， 


则 检查 自己 的 份额 与 承诺 是 否 相 匹配 ， 
额 是 有 效 的 ， 如 果 不 匹 配 ， 则 向 Dealer 


这 一 验证 过 程 ， 每 个 参与 方 都 能 检查 出 


若 匹配 则 认为 收 到 的 份 
1 请 正确 的 份额 。 通 过 


安全 性 分 析 : 在 方案 中 ，Pi 广 播 的 承诺 中 与 秘密 有 关 的 信 


的 b(0)e2Z,， (E4 C, = gh" mod p 


息 仅 为 4 = gO RW mod p ,对 于 任意 的 0)e 2, ,都 存在 唯一 


，C0 没 有 泄露 关于 a(0) 


的 任何 信息 ,所 以 上 述 过 程 是 信息 论 安全 的 。 “” 除 此 之 外 ， 上 
述 方案 可 以 抵抗 秘密 分 发 者 发 送 错误 的 份额 给 其 他 参与 者 这 一 
主动 攻击 。 通 过 上 述 推导 过 程 可 以 看 出 ， 如 果 分 发 的 份额 不 在 
同一 个 t 次 多 项 式 上 ， 是 不 会 通过 VSPS 验证 的 ， 因 此 可 以 检 


WH Dealer 是 否 诚实 。 
2.1.2 加 法 门 


假设 参与 方 Pioa 拥有 通过 VSPS 验证 的 w 和 有 的 份额 


oj = f(D) Al B= fO) 以 及 与 承诺 有 关 的 份额 p; = PD) 和 
o,=s()), AIP BOY A =gh modp , A= gh" mod p 


0-8 mod p , =g" h* mo ; 
All B, ®h? mod B, gh” dp 


计算 yatp, Pj 计算 力 =2j+L VENA 


其 中 厂 1,2,.….,n。 需 要 
己 加 法 门 得 到 的 秘密 份 


额 ， 同 时 公布 对 其 份额 的 承诺 Cj = gh" mod p 。 


安全 性 分 析 : 因为 使 用 同 态 承诺 方案 ，7Yj=Qj+B; 的 承诺 为 


eNi 811.00132v1 
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黄建华 ， 等 


C= gn mod p= gh" gh” mod p=A,B,, Ay A; Fil 


B 已 经 通过 了 VSPS 验证 ， 所 以 其 他 参与 方 都 可 以 对 比 C 7 和 


利用 区 块 链 构建 公平 的 安全 多 方 计算 


ChinaXiv 合 作 期 刊 


EEZ 第 1 期 


以 计算 出 对 7 的 承诺 为 (7) = [ [HAO 。 同 输入 门 中 分 析 一 


样 ， 此 乘法 协议 是 信息 论 安全 的 ， 公 布 的 内 容 没有 泄露 关于 秘 


GG 来 验证 CG 的 正确 性 , 判定 Pj 是 否 诚 实 , 同时 所 有 参与 方 都 可 
以 计算 出 对 7 的 承诺 为 Co =A By 。 除 此 之 外 ， 同 输入 门 中 分 析 
一 样 ， 此 加 法 协议 是 信息 论 安 全 的 ， 公 布 的 承诺 没有 泄露 关于 
秘密 份额 的 任何 信息 。 
2.1.3 乘法 门 
假设 参与 方 Pigen 拥有 通过 VSPS 验证 的 w 和 的 份额 
a; = LD) Bl Bi = fo DW RAG AK AK I A A = TC) 和 
o,=5H) ， 公 开 的 信息 为 承诺 A =8°h’modp , 
A, = gh” mod p Fl B, = 8°h° mod p , B, 
全 1,2,…n。 需 要 计算 Y=Qp ， 方 法 如 下 : 
fap) E fi, Df) = HX" ++ 5x + OB 


Cit 


= g*h™ mod p, 其 中 


有 
ap fog MD 

Wty oe GO 
a fat) 

广 是 一 个 非 奇 异 矩 阵 ， 记 aaarm IV 的 第 1 行 第 7 列 ， 


aBaA fap (I) +...4+4, mfa (21 + D= =A fa Of, +.. abaya ds (2t +1) fs(2t+D), P; 
计算 4,08; Ht ve A BEALS AO) uo, E 
h,O)=1,a,8; 。 对 于 i=1,2,...,.n, PEN Dealer 将 4,0,4,@) 发 


iL Po JET PEAR Hh =" PH , k=0,1,....06 


P; 需要 使 用 零 知 识 证 明 方 法 证 明 其 分 享 


的 秘密 确实 是 


Xap;， 也 就 是 现 有 公开 信息 A =gh” modP ， 


— Pipoi — o%ÊPi pt 
B,=g h mod p #il D, =g" h modp, 


其 中 4; 和 Bj 是 已 通过 


检验 的 正确 承诺 ，P; 需要 证 明 D; 打开 承诺 后 的 值 的 确 是 A; 和 


B; 打开 承诺 后 的 值 之 积 。 文 献 [28] 给 出 了 相关 的 零 知识 证 明 方 
案 。 


通过 零 知 识 证 明 后 保证 了 正确 的 秘密 份额 被 分 享 ， 然 后 每 
一 个 Pi Xt Pi 公布 的 承诺 进行 VSPS 验证 , 通过 则 检查 自己 的 份 
额 与 承诺 是 否 匹 配 ， 匹 配 则 认为 收 到 的 是 有 效 份额 ， 最 终 选取 


2t+1 
2t+1 个 有 效 份额 , 计算 x= OO 作为 自己 乘法 门 得 到 的 秘密 
j=l 


OE, HAM 7 的 承诺 H(y,) = 9h? mod p 。 

安全 性 分 析 : 该 乘法 方案 可 以 抵抗 主动 攻击 ， 零 知识 证 明 
保证 了 每 个 参与 方 Pj 都 正确 地 产生 了 名 (*) ， 即 有 (0)=hQjp;， 
之 后 通过 VSPS 验证 Pj 分 发 份额 的 正确 性 ， 若 VSPS 验证 不 通 
过 ， 说 明 Pj; 发送 了 错误 份额 ， 其 他 参与 者 向 Pj 申请 正确 份额 。 


密 份额 的 任何 信息 。 在 乘法 门 中 每 个 参与 方 需要 进行 n-1 次 
VSPS 验证 , 为 了 提高 效率 ,可 以 中 途 不 进行 VSPS 验证 , 而 是 
在 所 有 参与 方 得 到 各 自 乘法 门 的 秘密 份额 后 ， 再 对 他 们 公布 的 
份额 承诺 进行 1 次 VSPS 验证 ， 但 是 这 种 方式 是 对 聚合 值 进行 
验证 ， 无 法 找 出 具体 恶意 方 ， 也 无 法 确定 恶意 方 的 数量 ， 只 能 
应 对 被 动 攻击 者 ， 所 以 如 果 通 过 VSPS 验证 ， 
如 果 验 证 不 通过 ， 所 有 参与 方 在 本 次 乘法 门 全 部 重新 进行 计算 


且 中 途 当 每 个 参与 方 作为 Dealer 分 发 秘密 份额 时 都 要 对 其 进 
行 VSPS ISi E o 
2.1.4 输出 门 


当 参 与 方 的 秘密 输入 通过 输入 门 被 秘密 分 享 之 后 ， 加 法 门 
和 乘法 门 都 是 对 这 些 份 额 进行 运算 ， 不 会 泄露 有 关 秘 密 输 入 的 
任何 信息 ， 且 在 加 法 门 和 乘法 门 中 每 个 参与 方 分 发 份额 都 要 经 
过 VSPS 验证 ， 这 样 可 以 检测 出 分 发 者 是 否 诚实 ， 最终 输出 门 
的 结果 是 重建 y 所 需要 的 秘密 份额 ,每 个 参与 方 Pi 得 到 份额 yis 
公开 信息 为 对 秘密 y 的 承诺 40 以 及 对 份额 的 承诺 4 二 1,2,.…,n 
通过 对 输入 门 、 加 法 门 和 乘法 门 的 分 析 可 以 看 出 ， 到 达 输 
出 门 的 所 有 承诺 都 是 经 过 验证 确保 是 正确 的 ， 所 以 在 输出 阶段 
也 就 是 借助 区 块 链 实现 公平 重建 阶段 ， 只 需要 检验 参与 者 公布 
的 份额 yi 与 其 之 前 公开 的 承诺 活 是 否 匹配 ， 如 果 匹 配 ， 就 是 正 
确 的 份额 ， 只 要 找到 t+] 个 正确 的 份额 ， 被 正确 恢复 。 
2.2 ”公平 的 秘密 重建 协议 

执行 完 链 下 通用 MPC 协议 后 ， 所 有 参 
份额 ， 需 要 公开 自己 的 份额 来 恢复 秘密 
到 别人 的 秘密 份额 并 成 功 恢复 秘密 之 后 ， 没 有 公开 自己 的 份额 
就 提前 终止 协议 ， 可 能 导致 有 的 参与 方 得 不 到 最 终结 果 ， 破 坏 
了 MPC 的 公平 性 。 所 以 需要 执行 公平 的 秘密 重建 协议 ， 检 测 
出 恶意 参与 方 并 对 其 进行 惩罚 ， 同 时 对 诚实 方 进行 补偿 。 因 为 
惩罚 机 制 的 存在 ， 理 性 参与 者 会 选择 不 去 作恶 。 

利用 惩罚 机 制 构建 公平 的 MPC 协议 首先 要 解决 押金 存储 
问题 。 文 献 [25] 提 出 的 公平 MPC 协议 基于 比特 币 脚本 语言 ， 由 
于 传统 比特 币 区 块 链 的 种 种 限制 ， 没 有 一 个 可 信 方 可 以 存放 押 
金 , 押金 只 能 通过 claim-or-refund 方式 在 参与 方 两 两 之 间 传 递 ， 
总 押金 数 达到 O(N?) ， 且 只 能 识别 出 一 个 恶意 方 ， 文 献 [27] 
样 基于 比特 币 网 络 ， 交 易 轮 数 与 采用 的 恶意 模型 下 MPC 协议 
的 轮 数 相 同 。BFSMPC 基于 以 太 坊 智能 合约 实现 ， 协 议 中 有 两 
AUK ACA: 外 部 账户 和 合约 账户 ， 外 部 账户 由 用 户 个 人 私 钥 控 
制 ， 而 合约 账户 由 合约 代码 控制 ， 不 为 任何 人 所 控制 ， 它 可 以 


y 就 外 


pus 


al 


S 


对 于 每 个 参与 方 Pi ERA TAHRA H), RSSM 


过 检测 其 是 


否 等 于 []4@) 来 判定 正确 性 。 所 有 参与 方 都 可 


作为 一 个 可 信 方 来 存储 押金 。 在 BFSMPC 中 ,所 有 参与 方 都 将 
押金 发 送 给 合约 账户 ， 由 智能 合约 进行 统一 保管 ， 因 此 缴纳 押 
金 轮 数 只 有 一 轮 ， 总 押金 数 为 O(N)。 

BFSMPC 包 括 本 地 协议 ConLocal 和 智能 合约 ConContract。 
ConContract 由 某 个 参与 方 忆 编写 ， 所 有 参与 方 对 合约 内 容 达 
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成 一 臻 后 ，Pi 将 其 发 布 到 区 块 链 网 络 ， 经 矿工 验证 后 写 入 区 落 
链 。 以 下 有 具体 描述 了 ConLocal 和 ConContract 的 内 容 。ConLocal 
参与 方 执 行 ， 规 定 了 参与 方 的 计算 操作 以 及 发 送 给 
ConContract 的 数据 ，ConContract 则 由 区 块 链 节点 执行 ， 负 责 
保管 押金 及 在 秘密 重建 阶段 对 参与 方 行为 进行 判断 。 因 为 在 区 
块 链 网 络 中 ， 对 于 智能 合约 的 执行 结果 需要 经 过 共识 ， 所 以 为 
了 提高 效率 ， 先 由 参与 方 本 地 相互 验证 各 自 份 额 的 正确 性 ， 如 
果 验 证 不 通过 , 再 将 自己 的 份额 交 由 ConContract 验证 。 对 于 提 
前 终止 协议 的 行为 ，ConContract 用 超时 来 判定 ， 如 果 参 与 方 在 
规定 时 间 内 没有 向 ConContract 发 送信 息 ， 则 被 判 为 恶意 方 。 
参与 方 本 地 协议 ConLocal: 
Init: ”协议 参与 方 集 P:={P1, Pz Po} n 个 参与 方 之 间 协 商 一 个 大 素数 


$ 


p, Wi p=2q+1, q 也 是 一 个 素数 ，g 为 Z, 的 q 阶 元 , h 为 g4 


HT 


成 的 子 群 中 的 随机 元 素 ， 押 金 数 为 $dep， 验 证 数组 Ji AS 8。 
Deposit: 确认 当前 T<over(Q); 
将 (Deposit，$dep，Pi) 发 送 给 ConContract; 
Compute: — H. T>=over(0)+2: 
/* 为 了 确保 在 所 有 诚实 方 完 成 第 P 轮 任务 之 前 不 会 有 参与 方 行进 
到 第 P +1 轮 ， 任 两 轮 之 间 至 少 有 两 个 时 钟 间隔 。*/ 
向 ConContract 发 送 (ReadD，Pi); 
接收 到 D 后 ， 如 果 D!=1， 得 到 押金 后 协议 终止 。 否 则 ， 执 行 一 个 
不 公平 的 安全 MPC 协议 ,对 于 每 个 ie[n] ,Pi 得 到 结果 outi:=(yi， 


y r. 
Fi, Aos Air, ms An)o HA yp FETAR) « 


SubCom: — H. T>=over(1)+2: 
将 (SubCom，Pi，Ai) 发 送 给 ConContract; 

SubVerify: — H. T>=over(2)+2: 

Verify: 日 接 收 到 来 ae 的 (Verify, yj,7; ): 
确认 Tcover(3)， 不 满足 则 忽略 此 消息 ; 
验证 gh" RBS Ay WEA IIIA: 
验证 完 所 有 的 份额 后 ， 任 取 t+1 个 正确 份额 恢复 秘密 ， 成 功 则 置 
Ji[8] 为 1; 


将 (Verify，Pi，7i) 发 送 给 ConContract; 


Check: — H. T>=over(4)+2: 
向 ConContract Riž (Check, Pi ); 
WH) U 后， 如 果 IJ[8]=1， 向 ConContract Kik(Pay, Pi), WR 
押金 退还 正确 ， 协 议 终止 ， 如 果 IJ[8]!1=1&8&J[i]!=1， 向 


ConContract 发 送 (Reverify，Pi , Yoh ); 


如 果 ILO] !=188I[i]=1 且 恢 复 秘密 成 功 ， 一 旦 T> over(5)+2, 


名 ConContract 发 送 (RePay，Pi); 


ReCon: —H. T>=over(5)+2: 


a] ConContract Kik(ReturnShare, Pi ); 


收 到 Sh 后 ， 再 次 尝试 重建 秘密 ; 


句 ConContract 发 送 (RePay，Pi); 
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© MPC 的 智能 合约 ConContract: 


$ 
= 
> 

le 

N 
对 
L > 


Init: 恶意 方 集合 := 名 ， 恶 意 方 的 个 数 F 初始 化 为 6， 协议 参与 方 集 


aid 


P:={P1, PzPn}， 押 人 金 标志 位 D:=8，n 个 参与 方 之 间 协 商 的 一 个 


大 素数 p， 满 足 p=29+1，9 也 是 一 个 素数 ，g HZ, 的 q 阶 元 


为 g 生成 的 子 群 中 的 随机 元 素 ， 押 金 数 为 $dep， 押 金 数组 M 记录 
押金 缴纳 情况 为 全 8， 状态 数组 7 为 全 8， 数 组 Ch 和 Sh 分 别 用 来 


存储 参与 方 公布 的 承诺 和 份额 且 初 始 化 为 空 。 


Deposit: 一 旦 接收 到 来 自 参与 方 Pi 的 (Deposit，$dep): 


确认 当前 时 间 T<over(0) H. Ledger[Pi]>= $dep; 
确认 Pi 在 本 次 计算 中 第 一 次 触发 Deposit; 


Ledger[Pi]:=Ledger[Pi]-$dep, 


Ledger[ConContract]:= Ledger[ConContract]+$dep; 


M[i]:=1; 

如 果 M[1]& M[2]&.& M[n]=1, D:=1; 
ReadD: — H. T>over(@): 

拒绝 接受 任何 参与 方 发 送 的 (Deposit，$dep); 

日 接收 到 来 自 参与 方 Pi 的 (ReadD ): 

确认 Tcover(1)， 不 满足 则 忽略 该 消息 ; 

如 果 D!=1， 退 还 押金 。 

返回 D; 
SubCom: 一 旦 接收 到 Pi 发 送 的 (SubCom，Ai): 

确认 当前 时 间 T<over(2)， 不 满足 则 忽略 该 消息 ; 

记录 Pi 触发 了 SubCom; 

Ch[i]:= Ai; 

一 旦 T>over(2): 将 没有 触发 subCom 的 参与 方 加 入 F; 
Verify: 一 旦 接收 到 来 自 Pi 的 (Verify，Ji): 

确认 T<over(4)， 不 满足 则 忽略 该 消息 ; 

记录 Pi fh T Verify; 


将 收 到 的 所 有 验证 数组 逐 位 相 与 ， 得 到 状态 数组 J: =I18I28..8In; 


—H Toover(4): 将 没有 触发 Verify 的 参与 方 加 入 F; 
Pay: ”如 果 I[8]=1， 对 于 任意 的 PeP- 了 了 : 


Ledger[Pi]:=Ledger[Pi]+ $dep+ (f :$dep)/(n—f)); 


Check: U:= (J,F); 


返回 U; 


ReVerify: 日 接收 到 来 自 Pi 的 (Reverify , Yon ): 
确认 Tcover(5)， 不 满足 则 忽略 此 消息 ; 
如 果 J[O]!=18&8&I[i]!=1, WUE gj 是 否 等 于 Ai， 


Sh[i]:= (¥,%), HIli]A1; 


相等 则 


RePay: ”一旦 T>over(5): F:=F O{P |i el,n]&&J[i]!=1} ; 


一 旦 接收 到 来 自 Pi 的 (RePay)， 对 于 任意 的 ReP-F: 


Ledger[Pi]:=Ledger[Pi]+ $dep+ (f :$dep)/(n—f)); 


返回 Check; 


ReturnShare: 返回 Sh; 


BFSMPC 执行 前 先进 入 预 准备 阶段 ， 参 与 方 对 押金 数 和 其 


他 公共 参数 达成 一 致 ， 生 成 公 钥 和 私 钥 ， 广 播 公共 信息 


《如 以 
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以 使 / 


秘密 通信 信道 和 广播 信 


道 ， 整 个 协议 在 同步 网 络 中 运行 。BFSMPC 的 执行 流程 如 图 2 
所 示 。 
A | 人 发 布 ConContract ,| so 
计算 方 节点 Q 
L 1 © T 
f 挖 矿 > 
| Miner 奖励 z. 
> N © $dep 
Merna 计算 方 节点 1 © FE 
e e - > 
Arms A Q 2r » 8 
RAPS a 
© 相互 验证 , = < o 
ews © 发 送 自己 的 秘密 份额 = 
SSE Ca erecta iat moe Senco on > o 
Sa Qo 
e 尝试 也 - PREG 
M Ome, Ommen | 
\ 计算 方 节点 P ® 返还 押金 及 补偿 
图 2 BFSMPC 执行 流程 
Fig.2: BFSMPC execution process 
a) BFSMPC 一 开始 进行 押金 提交 ， 也 就 是 图 4 中 的 第 3 


步 。 记 over(P) 为 第 P 轮 的 结束 时 间 , 参与 方 Pi 在 over(0) 之 前 
向 ConContract 发 送 (Deposit, $dep, P), ConContract 收 到 后 先 


检查 Pi 的 账 
se, 以 后 再 


户 余额 是 否 充足 ， 充 足 则 
收 到 (Deposit, $dep, Pi) Ill] A 
纳 押金 之 后 ， 置 标志 位 D 为 1。 


ConContract 就 不 再 


则 将 # 


Pi, Ai) 


提交 对 自 
满足 T<over(2), 


记录 下 Pi 已 经 缴纳 过 押 
各 。 当 检测 到 所 有 人 都 缴 
旦 当前 时 间 T>over(0), 
接受 任何 (Deposit, $dep, P), XHUR D!=1 
金 退 还 给 所 有 参与 者 ， 协 议 终 止 ， 否 则 协议 继续 。 
b) 参与 方 Pi 在 over(2) 之 前 向 ConContract 发 送 (SubCom， 
己 份额 的 承诺 Ai, ConContract Wr 
满足 则 将 4; 存 入 Chii] H 


I 后 检测 是 否 


H, 一旦 T>over(2), 将 


没有 发 送 承 诺 的 参与 方 加 入 恶意 方 集合 五 中 。 这 里 对 应 图 


第 5 步 。 


c) 接 下 来 进行 链 下 验证 ， 对 应 于 图 
周 用 (SubVerify, y,,7 ) 将 


over(3) 之 前 ， 


参 


eS 


SA Piy 


(yi) 发 送 给 其 人 


也 所 有 
个 验证 数组 Jj Rida A 


4 中 的 第 6 


参与 方 P; §=1,2,...n H 


j!=i) 


4 的 


、7 步 。 在 


自己 的 秘密 份额 


发 送 (Pay, Pi)， 得 到 退 款 且 确认 无 误 后 ,协议 终止 。 这 里 对 应 图 
4 中 的 第 13 步 。 

如 果 .J[0]=0， 说 明 有 参与 方 没有 成 功 恢复 秘密 ， 这 种 情况 
下 若 J[i]=1， 表 明 Pi 的 份额 得 到 了 其 他 所 有 参与 方 的 认可 ， 如 
R Pi 成 功 恢 复 秘密 , 等 到 7>=over(5)+2 之 后 , Pi 向 ConContract 
发 送 (RePay, Pi); Æ [=0, 说 明 Pi 的 份额 没有 得 到 其 他 参与 方 
的 认可 ， 需 要 在 over(5) 之 前 向 ConContract 发 送 (Reverify, Pi ， 
yi7)， 这 对 应 于 图 4 中 的 第 9 步 。 

f) ConContract 接受 到 (Reverify, Pi , Yon Ja, FUR AE Api 
Æ 7T<over(5)， 不 满足 则 忽略 此 消息 ， 否 则 判断 车 
J[O}!=1&&J[i]!=1, ConContract 从 Ch 四 中 取出 Ai IUE gn’ 
是 否 等 于 4;:， 相 等 则 将 ( 3,7) 存 入 Shi JIRE 1. 4 
7T>over(5) 时 ,对 于 任意 的 P 如果 J 和!=1， 则 将 PP 加 入 恶意 方 
SEG FH, 这 一 步 检 测 了 两 种 不 诚实 行为 , 第 一 种 为 提交 的 
秘密 份额 (7》j,7; )ConContract 验证 不 通过 ; 第 二 种 为 Pj 的 份额 
(yj ) 没 有 被 其 他 参与 方 认 可 ，Pi 也 没有 将 份额 提交 给 
ConContract 验证 。 


g) ConContract 接受 到 (RePay, PP 后 ， 判 断 是 否 满足 
Jo 


7T>over(5)， 不 满足 则 忽略 ， 否 则 如 果 检 测 到 ggF，F 中 恶意 
TRAZOS, Pi 将 收 到 值 为 gdep+ (f -$dep)/(n— f) ) 的 退 球 ， 
同时 Pi 会 获取 到 U=((/ 有 内， 可 以 验证 退 款 是 否 正 确 。 这 里 对 应 
于 图 4 中 的 第 13 步 。 

h) 如 果 参 与 方 Pi 没有 成 
ConContract 发 送 (ReturnShare, P;), Xf 
ConContract 收 到 后 会 返回 数组 Sh， 对 
Sh 保存 了 链 下 验证 不 通过 但 区 块 链 验 证 通过 的 份额 ,Pi 之 
前 恢复 秘密 失败 说 明 没有 收集 到 t+1 个 正确 份额 , 其 得 到 Sh 后 
可 能 会 凑 齐 t+] 个 份额 ， 也 可 能 恶意 方太 多 ， 凑 不 齐 ， 但 在 之 
前 几 步 中 已 经 找 出 发 送 错误 份额 和 提前 终止 协议 的 恶意 方 ， 所 
以 Pi 会 得 到 补偿 ，Pi 向 ConContract Rik(RePay, PP) 来 请 求 退 


a 


功 恢复 秘密 , 当 T>=over(5)+2 时 ， 
点 于 图 4 中 的 第 10 


应 于 图 4 中 的 第 11 


| 


a 


步 。 
步 。 


。 P (EFA 


是 否 等 于 Ai, 


相等 则 J[i]:=1 


己 对 其 他 参与 方 份额 的 验证 结果 ， 沁 的 
初始 值 为 全 0。 先 检查 是 否 满足 T<over(3)， 不 满足 则 忽略 此 信 
息 ， 否 则 验证 gh" 
有 的 份额 之 后 ， 如 果 能 取 到 t+1 个 正确 份额 来 成 功 | 
则 [0]:=1。Pj; 将 (Verify, Pi, DRŽA ConContract。 


Pi 验证 完 所 


次 复 秘密 ， 


d) ConContract 接受 到 (Verify, P} .办 后 ,判断 当前 时 间 是 否 
re 
DA 


满足 T<over(4), 不 满足 则 忽略 J 
数组 。ConContract 将 收 到 的 所 有 数 纪 
Jo —EH. 7T>oyver(4)， 将 没有 提交 验 说 


集合 下 中 。 


U=( 太后, 如 


Fj 


而 不 用 考虑 Jii] 
计算 成 功 。 此 时 


FA 
个 


比 消息 , 否则 记录 Pj 


款 ， 如 果 ConContract MWE REF, F PRAD ARO S, 
Pi 将 收 到 值 为 gdep+ (f -$dep)/(n—- 了) ) 的 退 款 。 协 议 终止 。 
3 ”安全 性 分 析 

根据 第 2.1 节 的 推导 可 以 看 出 BFSMPC 使 用 的 通用 MPC 
协议 基于 可 验证 秘密 共享 方案 ， 可 以 抵抗 主动 攻击 者 。 在 协议 
输入 阶段 ， 每 个 参与 方 作为 Dealer 将 秘密 份额 分 发 给 其 他 参与 


日 逐 位 相 与 ， 得 到 状态 数 纪 


pe se J erik 
HL 


方 时 ， 会 公布 对 份额 以 及 对 秘密 的 承诺 ， 这 个 承诺 方案 是 信息 
论 安 全 的 ， 不 会 泄露 有 关 秘 密 的 任何 信息 。 除 此 之 外 ， 承 诺 方 


J[0]=1, 说 明 所 


的 值 是 否 为 1， 因 


E 数 组 的 参与 方 加 入 恶意 方 


e) 参与 方 Pi 向 ConContract 发 送 (Check, Pi)， 收 到 响应 


参与 方 都 成 功 恢复 了 秘密 ， 


为 所 有 参与 方 都 得 到 了 输出 ， 
， 若 了 sg 了 ， 下 中 恶意 方 的 个 数 记 为 亡 已 计算 
自己 应 得 到 $dep+ (f -$dep)/(n— f) ) AYIB HIF [a] ConContract 


案 具 有 同 态 性 ， 对 于 4=H(@,P),4=H(@,p,) , 
AA, = H(@,+05,P,+ Pr) 成 立 ， 这 样 ， 对 于 多 项 式 ftx) ， 当 得 
到 对 ft) 的 承诺 , 根据 同 态 承诺 的 性 质 , 可 以 计算 出 对 多 项 式 系 
数 的 承诺 ， 进 而 可 以 进行 VSPS 验证 ， 以 检测 所 有 份额 是 否 在 
同一 个 t 次 多 项 式 上 ,具体 的 推导 过 程 见 2.1.1 节 。 如 果 验 证 通 
过 ， 则 可 以 判定 Dealer 是 诚实 的 ， 每 个 参与 者 都 得 到 了 正确 的 
份额 。 对 于 乘法 门 , 从 2.1.3 节 的 推导 可 以 看 出 每 个 参与 者 都 需 
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要 作为 Dealer 分 发 份额 ， 使 月 
测 出 其 是 否 
以 计算 出 其 加 法 门 输 
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上 零 知识 证 明和 VSPS 验证 可 以 检 


是 诚实 者 。 在 加 法 门 中 ， 对 于 Pi:， 所 有 参与 方 都 可 


的 承诺 。 链 下 MPC 的 整个 过 程 中 对 每 


个 参与 方 的 行为 都 做 了 检测 ， 可 以 识别 出 恶意 参与 方 ， 保 证 
MPC 输出 门 的 承诺 是 正确 的 。 在 公平 的 秘密 重建 阶段 


方 只 需 收集 t+1 个 正确 的 份额 即 可 恢复 秘密 ， 不 需要 自己 检验 


的 


n 个 份额 全 部 正确 .区 块 链 只 要 检测 到 所 有 人 都 恢复 了 秘密 ， 


协议 便 终止 ， 不 需要 再 检测 是 否 有 恶意 方 链 下 发 送 错误 份额 。 


只 有 当 有 参与 方 恢复 秘密 失败 时 ， 那 些 未 通过 验证 的 参与 方才 


， 只 要 秘 


需要 将 份额 广播 给 区 块 链 网 络 ， 由 区 块 链 进行 验证 ， 找 出 恶意 


密 份额 与 2 


前 公布 的 承诺 相 匹配 就 认为 是 正确 的 份额 ， 收 集 到 


ttl 个 正确 的 份额 即 可 正确 恢复 秘密 ， 即 使 有 其 他 的 错误 份额 
也 不 会 影响 恢复 结果 ， 协 议 具 有 和 鲁 棒 性 ，BFSMPC 能 容忍 的 最 
恶意 方 数 为 n-t-1， 因 为 必须 t+] 个 正确 份额 才能 恢复 秘密 。 


为 了 保 订 


FE 效 率 ，BFSMPC 公平 重建 阶段 先进 行 链 下 验证 


参与 方 Pi; 的 份额 可 能 不 被 其 他 参与 方 认可 ， 有 三 种 可 能 ， 第 一 


种 为 Pi 向 其 人 


也 参与 方 发 送 了 错误 份额 , 第 二 种 为 Pi 发 送 的 是 正 


确 份额 ,但 是 被 其 他 参与 方 恶 意 诬 赖 ， 第 三 种 为 Pi 提前 退出 了 


协议 ， 没 有 向 其 他 参与 方 公布 份额 。 如 果 链 下 验证 完毕 后 所 有 
参与 方 都 成 功 恢复 了 秘密 ， 这 三 种 恶意 行为 是 不 会 去 检测 的 
因为 已 经 实 


现 了 MPC 的 公平 性 。 如 果 链 下 验证 结束 后 ， 有 参 
与 方 恢复 秘密 失败 ， 则 任何 链 下 验证 不 通过 的 份额 都 需 提 交 给 
智能 合约 ConContract 验证 ，ConContract 是 自动 执行 的 ， 不 为 


任何 人 控制 ， 理 性 参与 方 会 选择 发 送 正确 的 份额 ， 因 为 发 送 错 


误 份额 很 容易 被 检测 出 来 ,从 而 被 ConContract 加 入 恶意 方 集 ， 
金 就 会 被 没收 。 对 于 提前 终止 协议 的 行为 ， 区 块 链 使 用 超时 
来 判断 ， 协 议 的 每 一 轮 都 有 时 限 ， 超 出 了 时 限 未 发 送信 息 则 被 
判 为 恶意 方 。 对 于 任 一 参与 者 Pi, ConContract 判定 其 为 恶意 方 


和 


= 


的 规则 为 : 


超时 未 上 传承 诺 的 Ais c) 超时 未 上 传 验证 数组 J d 没有 通 


方 


， 从 而 对 诚实 参与 者 进行 赔偿 。 因 为 基于 以 太 坊 的 BFSMPC 


中 存在 合约 账户 ， 可 以 用 来 存储 数据 和 价值 ， 所 以 只 需要 协议 
执行 前 参与 方 统一 将 押金 发 送 到 智能 合约 账户 中 即 可 ， 即 
BFSMPC 中 参与 方 只 要 缴纳 一 次 押金 ， 显 著 降 低 了 算法 的 复杂 
度 。 


任何 基于 区 块 链 的 解决 方案 ， 都 要 考虑 上 链 的 共识 时 长 。 


在 比特 币 区 块 链 中 , 产生 一 个 块 的 时 间 大 约 是 10 分 钟 , 为 了 防 


止 分 又 ， 最 终 确 认 要 等 6 个 块 ， 所 以 确认 一 笔 交 易 被 写 入 区 块 


链 中 需要 大 概 60 分 钟 ， 显 然 效率 太 低 。 文 献 [25] 的 协议 考虑 了 
确认 块 的 问题 ， 所 以 每 轮 时 长 都 非常 长 。 基 于 以 太 坊 的 
BFSMPC 采用 ghost63 共 识 机 制 ，15 秒 即 可 产 出 一 个 区 块 ， 效 
率 比 文献 [25] 的 协议 更 高 。 


a) 超时 未 交纳 押金 无 法 惩罚 ， 协 议 终止 ); b) 


过 其 他 参与 方 的 验证 ， 最 终 超时 未 向 智能 合约 提交 秘密 份额 


Oh) e) 提交 的 秘密 份额 ( 3,7 ) 区 块 链 验 证 不 通过 。 

任何 提前 终止 协议 及 发 送 错误 信息 的 参与 方 都 会 被 
ConContract 识别 出 来 并 没收 其 全 部 押金 ， 这 使 得 在 BFSMPC 
中 作恶 是 有 代价 的 ， 只 要 押金 数 适 当 ， 理 性 的 参与 方 会 选择 诚 
实地 执行 协议 。 


4 ”性 能 分 析 


文献 [25] 中 参与 者 与 


底层 MPC 


基于 区 块 链 需 要 完成 


k 识 过 程 ， 在 区 块 链 上 执行 操作 会 耗 


5 结束语 

安全 MPC 中 , 当 大 多 数 参 与 者 都 不 诚实 时 , 公平 性 无 法 保 
证 。 基 于 现实 中 攻击 者 都 是 理性 的 这 一 特点 ， 采 取 惩 罚 措施 可 
以 使 得 恶意 攻击 者 公平 地 执行 协议 。 区 块 链 具 有 去 中 心 化 ， 去 
信任 及 不 可 窜改 等 特点 ， 其 上 的 智能 合约 不 仅 可 以 不 为 人 控制 
地 自动 执行 代码 ， 存 储 数据 ， 还 能 和 普通 账户 一 样 存储 价值 。 


后 


本 文 利用 区 块 链 智能 合约 构造 了 惩罚 机 制 , 设计 了 公平 的 MPC 
协议 BFSMPC。 参 与 方 在 执行 协议 前 向 智能 合约 缴纳 押金 ， 之 
,执行 一 个 不 公平 的 安全 MPC 协议 ,此 协议 基于 VSS 方案 ， 


秘密 输出 被 分 享 在 一 个 t 次 多 项 式 中， 该 阶段 最 终 每 个 参与 方 
得 到 各 自 的 秘密 份额 ， 随 后 执行 一 个 公平 的 秘密 重建 协议 ， 参 
与 者 之 间 互 相公 布 其 掌握 的 份额 ， 并 进行 链 下 验证 ， 将 验证 结 


四 
IN 


性 


， 不 需要 所 有 份额 都 正确 ， 诚 实 方 只 要 收集 到 t+1 个 正确 份 


馈 给 智能 合约 ， 由 智能 合约 判别 出 恶意 方 。 协 议 具 有 重 棒 
口 


额 即 可 恢复 秘密 ， 如 果 秘密 恢复 失败 会 得 到 补偿 。 安 全 性 分 析 


表明 参与 方 可 以 通过 验证 秘密 份额 的 正确 性 以 及 与 智能 合约 交 


费 大 量 时 间 和 算 力 资源 ,所 以 应 尽 可 能 地 将 验证 操作 放 到 链 下 。 
区 块 链 进行 交互 的 轮 数 达 到 O(N)， 执 行 完 


互信 息 的 正确 性 ， 以 得 到 正确 的 输出 结果 ; 性 能 分 析 表 明 
BFSMPC 只 需 缴 纳 一 轮 押金 并 且 大 量 复杂 的 验证 操作 都 在 链 


协议 后 ， 每 个 参与 方 得 到 秘密 输出 份额 ， 


要 验证 每 个 参与 方 的 秘密 份额 ， 而 且 只 有 每 个 人 者 


区 块 链 需 


了 公布 正确 的 


秘密 份额 才能 成 功 恢复 秘密 。 文 献 [27] 中 MPC 协议 的 每 一 轮 都 


需要 区 块 链 的 参与 ， 每 一 轮 参与 方 都 要 向 区 块 链 证 明 
外 议 ， 也 就 是 说 每 一 轮 区 块 链 都 要 验证 每 个 参与 方 公 


地 执行 了 世 
布 的 信息 ， 


[27]， 缴 纳 


押金 的 次 数 都 达到 
BFSMPC 中 第 一 阶段 通用 MPC 协议 输出 的 是 通 


自己 诚实 


进行 大 量 的 零 知 识 证 明 计 算 。 无 论 是 文献 [25] 还 是 


O(N). 


过 VSPS 


验证 的 公开 承诺 ， 以 及 参与 方 各 自 掌 握 的 秘密 份额 。 参 与 方 链 


下 验证 秘密 份额 的 正确 性 ， 因 为 基于 门限 秘密 共享 方案 ， 参 与 


下 进行 ， 相 较 于 文献 [25] 的 算法 效率 更 高 。 
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